一種數(shù)據(jù)包重定向裝置、虛擬機(jī)安全保護(hù)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種數(shù)據(jù)包重定向裝置��、虛擬機(jī)安全保護(hù)方法及系統(tǒng)����。該方法包括:監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧�,將數(shù)據(jù)包發(fā)送到加速單元;計(jì)算數(shù)據(jù)包特征���,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表����,在不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下����,將數(shù)據(jù)包提交給重定向單元��;重定向單元判斷數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān)��,當(dāng)來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)�����,查詢數(shù)據(jù)包重定向表�,當(dāng)存在所述數(shù)據(jù)包的基本信息時(shí)���,將數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧��,當(dāng)不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)�����,將數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表,并將數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)���。本發(fā)明能夠靈活實(shí)現(xiàn)數(shù)據(jù)重定向�,避免手動(dòng)配置虛擬交換機(jī)的麻煩��,加快數(shù)據(jù)包重定向的處理過(guò)程。
【專利說(shuō)明】一種數(shù)據(jù)包重定向裝置����、虛擬機(jī)安全保護(hù)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種數(shù)據(jù)包重定向裝置�、虛擬機(jī)安全保護(hù)方法及系統(tǒng)。
【背景技術(shù)】
[0002]服務(wù)器虛擬化指將一臺(tái)物理服務(wù)器通過(guò)軟件硬件技術(shù)抽象為多臺(tái)虛擬機(jī)���,各虛擬機(jī)就像實(shí)際的物理機(jī)一樣����,可以安裝操作系統(tǒng)����。各虛擬機(jī)邏輯上互聯(lián)隔離,但共享同一臺(tái)物理服務(wù)器的CPU����,內(nèi)存,I/O等資源�。
[0003]服務(wù)器虛擬化為實(shí)現(xiàn)靈活的資源管理和更高的服務(wù)器資源利用率提供了基礎(chǔ),該技術(shù)已經(jīng)成為當(dāng)前企業(yè)數(shù)據(jù)中心信息化建設(shè)的核心技術(shù)����。
[0004]然而����,服務(wù)器虛擬化面臨虛擬機(jī)隔離失效及虛擬機(jī)間通信監(jiān)控失效風(fēng)險(xiǎn)���。
[0005]虛擬機(jī)隔離失效指虛擬機(jī)相互干擾���,圖1示出了虛擬機(jī)隔離失效及監(jiān)控失效的示意圖。如圖1所示����,虛擬機(jī)101和虛擬機(jī)102都連接到同一個(gè)虛擬交換設(shè)備上,如果沒有在虛擬機(jī)交換機(jī)上設(shè)置訪問(wèn)控制策略��,虛擬機(jī)101發(fā)送的所有數(shù)據(jù)包都可以能被虛擬機(jī)102所監(jiān)聽�����。另外�����,這種情況下��,虛擬機(jī)101也可以向虛擬機(jī)102發(fā)送大量連接請(qǐng)求��,導(dǎo)致虛擬機(jī)102拒絕服務(wù)其他請(qǐng)求處理���。
[0006]虛擬機(jī)間通信監(jiān)控失效指運(yùn)行同一物理服務(wù)器上虛擬機(jī)之間通信不能被傳統(tǒng)的監(jiān)控系統(tǒng)所感知��。再次參考圖1���,虛擬機(jī)102和虛擬機(jī)103可以通過(guò)虛擬監(jiān)控器內(nèi)部的虛擬交換機(jī)進(jìn)行通信,但通信流量不能被外部的網(wǎng)關(guān)系統(tǒng)所感知��,導(dǎo)致監(jiān)控失效��。
[0007]針對(duì)虛擬機(jī)隔離失效及流量監(jiān)控失效問(wèn)題����,目前主要通過(guò)兩種方法來(lái)實(shí)現(xiàn)虛擬機(jī)流量監(jiān)控和虛擬機(jī)隔離。
[0008]第一種方法如圖2所示�,該方法是通過(guò)使用新的交換技術(shù)和硬件設(shè)備,將虛擬機(jī)間的通信流量重定向到外部安全系統(tǒng)����。這種方法的優(yōu)點(diǎn)是可以利用已有的安全系統(tǒng)資源。不足的是需要修改虛擬機(jī)監(jiān)控器內(nèi)核�,特別是網(wǎng)卡驅(qū)動(dòng),以實(shí)現(xiàn)虛擬機(jī)流量識(shí)別和分發(fā)��,同時(shí)需要增加新的網(wǎng)絡(luò)硬件設(shè)備,如新的物理交換機(jī)�,對(duì)用戶而言成本較高。
[0009]目前�����,設(shè)備廠商提出了將流量重定向到服務(wù)器外部網(wǎng)絡(luò)設(shè)備的技術(shù)�����,如CiscoVN-tag,以及HP VEPA(virtrual Earth Port Aggriate)技術(shù)��?����;谶@些技術(shù)���,服務(wù)器外部署的安全系統(tǒng)也就能夠?qū)崿F(xiàn)對(duì)虛擬機(jī)隔離和流量監(jiān)控目的����。
[0010]第二種方法如圖3所示��,該方法是將普通虛擬機(jī)流量重定向到部署有安全系統(tǒng)的虛擬機(jī)上,主要采用修改虛擬交換機(jī)端口轉(zhuǎn)發(fā)配置來(lái)實(shí)現(xiàn)流量重定向�����。該方法的優(yōu)點(diǎn)是不用修改虛擬化軟件內(nèi)核代碼�,可適用于不同虛擬化平臺(tái)����,只要平臺(tái)支持虛擬交換機(jī)。不足之處是每接入一個(gè)虛擬機(jī)就要進(jìn)行虛擬交換機(jī)配置修改���,管理不方便���;同時(shí),隨著虛擬機(jī)數(shù)量和通信流量增加�����,安全系統(tǒng)的性能瓶頸也將出現(xiàn)�����。
[0011]目前�����,商用虛擬化軟件中都支持基于虛擬交換機(jī)的重定向方法,主流開源虛擬化軟件也都支持虛擬機(jī)交換流重定向配置功能�����。
[0012]當(dāng)前����,諸如北京網(wǎng)御星云信息技術(shù)有限公司的虛擬化網(wǎng)關(guān)系列產(chǎn)品就采用了第二類重定向方法來(lái)實(shí)現(xiàn)虛擬機(jī)安全。
[0013]對(duì)于第二種方法����,北京網(wǎng)御星云信息技術(shù)有限公司于2011年7月25日提出了申請(qǐng)?zhí)枮?01110208735.X、題為“用于服務(wù)器虛擬化的虛擬網(wǎng)關(guān)防護(hù)方法���,安全網(wǎng)關(guān)及系統(tǒng)”的專利申請(qǐng)�����。該專利申請(qǐng)的技術(shù)方案采用了第二類流量重定向方法�����,即虛擬機(jī)流量重定向到安裝有監(jiān)控系統(tǒng)的虛擬機(jī)中����,該虛擬機(jī)稱為虛擬安全網(wǎng)關(guān)。該專利申請(qǐng)的技術(shù)方案包括以下步驟:
[0014]1.虛擬監(jiān)控器VMM中的虛擬子網(wǎng)絡(luò)通過(guò)各自的虛擬交換機(jī)向其他虛擬子網(wǎng)絡(luò)發(fā)送通信流量�,并接收其它虛擬子網(wǎng)絡(luò)發(fā)出的通信流量。
[0015]2.在VMM層潛入重定向驅(qū)動(dòng)模塊��,由重定向驅(qū)動(dòng)模塊負(fù)責(zé)將所有虛擬機(jī)的通信流量重定向到虛擬安全網(wǎng)關(guān)中���,虛擬安全網(wǎng)關(guān)通過(guò)虛擬交換機(jī)和虛擬網(wǎng)卡間的——對(duì)應(yīng)關(guān)系,接收虛擬子網(wǎng)絡(luò)內(nèi)的虛擬交換機(jī)發(fā)送或接收的通信流量����,然后將通信流量暫時(shí)隔離在虛擬安全網(wǎng)關(guān)中。
[0016]3.虛擬安全網(wǎng)關(guān)根據(jù)預(yù)設(shè)的安全策略分析處理這些流量����,當(dāng)符合安全策略時(shí),依據(jù)虛擬交換機(jī)和虛擬網(wǎng)卡間的對(duì)應(yīng)關(guān)系將通信流量發(fā)送給目的虛擬子網(wǎng)絡(luò)內(nèi)的虛擬交換機(jī)�。當(dāng)不符合安全策略時(shí),虛擬安全網(wǎng)關(guān)做出響應(yīng)�,如果檢測(cè)到分組數(shù)據(jù)的目的端口為安全策略規(guī)定關(guān)閉的端口,那么可以對(duì)這些數(shù)據(jù)進(jìn)行攔截或丟棄����,也可以對(duì)用戶報(bào)警����,由用戶選擇處理方式����;或者檢測(cè)到一個(gè)虛擬子網(wǎng)絡(luò)對(duì)一個(gè)沒有訪問(wèn)權(quán)限的虛擬子網(wǎng)絡(luò)發(fā)起訪問(wèn),那么就可以對(duì)用戶報(bào)警�����,具體響應(yīng)方式也可以由用戶自定義�����。
[0017]圖4為專利201110208735.X中的建立虛擬化安全網(wǎng)關(guān)后的服務(wù)器虛擬化應(yīng)用場(chǎng)景示意圖����。在圖4中,虛擬機(jī)監(jiān)控器402中設(shè)置有虛擬交換機(jī)403和404����,虛擬機(jī)410和412屬于同一網(wǎng)絡(luò),虛擬機(jī)405屬于另一網(wǎng)絡(luò)���。虛擬機(jī)405�、410和412上分別設(shè)置有虛擬機(jī)網(wǎng)卡406、411和413����。兩個(gè)網(wǎng)絡(luò)通過(guò)虛擬交換機(jī)403和404進(jìn)行數(shù)據(jù)收發(fā)。虛擬安全網(wǎng)關(guān)407上設(shè)置有虛擬機(jī)網(wǎng)卡408和409����,并通過(guò)該兩個(gè)虛擬機(jī)網(wǎng)卡408和409連接到兩個(gè)網(wǎng)絡(luò)中。
[0018]專利201110208735.X中的技術(shù)方案通過(guò)虛擬交換機(jī)配置來(lái)實(shí)現(xiàn)虛擬機(jī)流量重定向����。該方法存在以下缺點(diǎn):第一��,方法采用了現(xiàn)有的虛擬交換機(jī)�,在實(shí)際操作中,需要手動(dòng)地對(duì)每個(gè)虛擬機(jī)進(jìn)行虛擬機(jī)交換機(jī)端口轉(zhuǎn)發(fā)配置����,管理操作不靈活,且交換機(jī)的功能較固定�����,無(wú)法對(duì)緩存��、數(shù)據(jù)分析和處理等功能進(jìn)行自定義;第二����,隨著虛擬機(jī)通信量增多,安全系統(tǒng)虛擬機(jī)容易出現(xiàn)性能瓶頸�����。
【發(fā)明內(nèi)容】
[0019]針對(duì)現(xiàn)有技術(shù)中存在的上述問(wèn)題�,本發(fā)明實(shí)施例提供了一種數(shù)據(jù)包重定向裝置、虛擬機(jī)安全保護(hù)方法及系統(tǒng)�����,能夠自定義數(shù)據(jù)包重定向操作并對(duì)其進(jìn)行靈活控制���,避免了手動(dòng)配置虛擬交換機(jī)的麻煩�。
[0020]有鑒于此���,本發(fā)明第一方面提供一種虛擬機(jī)安全保護(hù)方法�,其特征在于�����,可包括:
[0021]所述數(shù)據(jù)監(jiān)聽單元監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧,在從所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中抓取到數(shù)據(jù)包時(shí)����,將所述數(shù)據(jù)包發(fā)送到加速單元;
[0022]所述加速單元計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征���,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表����,在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下����,將所述數(shù)據(jù)包提交給重定向單元��;
[0023]所述重定向單元判斷所述數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān)�,
[0024]當(dāng)判斷所述數(shù)據(jù)包來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí),查詢數(shù)據(jù)包重定向表�����,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)��,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧��,
[0025]當(dāng)判斷所述數(shù)據(jù)包不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí),將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表���,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)����。
[0026]在第一方面的第一種可能的實(shí)現(xiàn)方式中����,所述數(shù)據(jù)監(jiān)聽單元通過(guò)鉤子機(jī)制抓取所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中的數(shù)據(jù)包。
[0027]在第一方面的第二種可能的實(shí)現(xiàn)方式中�����,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)���,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧的步驟包括:恢復(fù)所述數(shù)據(jù)包的源地址信息���,并將恢復(fù)后的數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧。
[0028]在第一方面的第三種可能的實(shí)現(xiàn)方式中����,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí),將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧的步驟包括:恢復(fù)所述數(shù)據(jù)包的源地址信息,并將恢復(fù)后的數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧����。
[0029]在第一方面的第四種可能的實(shí)現(xiàn)方式中�,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí),將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧后還包括:計(jì)算所述數(shù)據(jù)包的數(shù)據(jù)包特征�,將所述數(shù)據(jù)包特征存儲(chǔ)至所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表。
[0030]在第一方面的第五種可能的實(shí)現(xiàn)方式中����,所述加速單元計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表的步驟還包括:在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下��,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧�。
[0031]在第一方面的第六種可能的實(shí)現(xiàn)方式中,將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表����,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)的步驟包括:通過(guò)所述虛擬化安全網(wǎng)關(guān)與所述重定向單元之間的使用內(nèi)存共享技術(shù)的專用通道將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)。
[0032]在第一方面的第七種可能的實(shí)現(xiàn)方式中�,在將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)之后��,還包括:所述虛擬化安全網(wǎng)關(guān)根據(jù)安全策略對(duì)所述數(shù)據(jù)包進(jìn)行安全處理���。
[0033]在第一方面的第八種可能的實(shí)現(xiàn)方式中�,所述安全處理包括以下至少一者:數(shù)據(jù)網(wǎng)絡(luò)審計(jì)、入侵檢測(cè)��、流量分析�����、惡意代碼檢測(cè)����。
[0034]在第一方面的第九種可能的實(shí)現(xiàn)方式中,在所述虛擬化安全網(wǎng)關(guān)根據(jù)安全策略對(duì)所述數(shù)據(jù)包進(jìn)行安全處理之后���,還包括:根據(jù)所述安全處理之后的結(jié)果��,判斷所述數(shù)據(jù)包是否符合所述安全策略�����,如果符合�����,則將所述數(shù)據(jù)包返回虛擬機(jī)網(wǎng)絡(luò)��,如果不符合����,則丟棄所述數(shù)據(jù)包。
[0035]在第一方面的第十種可能的實(shí)現(xiàn)方式中�,所述數(shù)據(jù)包重定向表包括:索引項(xiàng);數(shù)據(jù)包頭信息:包括數(shù)據(jù)包源MAC地址����、數(shù)據(jù)包源IP地址、數(shù)據(jù)包目的MAC地址����、數(shù)據(jù)包目的IP地址;數(shù)據(jù)包VLAN ID����。
[0036]在第一方面的第十一種可能的實(shí)現(xiàn)方式中,所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表包括:數(shù)據(jù)包特征��,包括數(shù)據(jù)包源MAC地址�����、數(shù)據(jù)包目的MAC地址�����。
[0037]本發(fā)明第二方面提供一種數(shù)據(jù)包重定向裝置���,可包括:
[0038]數(shù)據(jù)監(jiān)聽單元���,用于監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧,在從所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中抓取到數(shù)據(jù)包時(shí)�,將所述數(shù)據(jù)包發(fā)送到加速單元;
[0039]加速單元����,用于計(jì)算從所述數(shù)據(jù)監(jiān)聽單元接收到的數(shù)據(jù)包的數(shù)據(jù)包特征,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表�����,在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下���,將所述數(shù)據(jù)包提交給重定向單元�����;
[0040]重定向單元��,用于判斷所述數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān)�,
[0041]當(dāng)判斷所述數(shù)據(jù)包來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí),查詢數(shù)據(jù)包重定向表���,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)�����,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧����,
[0042]當(dāng)判斷所述數(shù)據(jù)包不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)�,將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)�。
[0043]在第二方面的第一種可能的實(shí)現(xiàn)方式中,所述數(shù)據(jù)監(jiān)聽單元通過(guò)鉤子機(jī)制抓取所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中的數(shù)據(jù)包��。
[0044]在第二方面的第二種可能的實(shí)現(xiàn)方式中�����,所述重定向單元還用于在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)�����,恢復(fù)所述數(shù)據(jù)包的源地址信息,并將恢復(fù)后的數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧�。
[0045]在第二方面的第三種可能的實(shí)現(xiàn)方式中���,所述重定向單元還用于在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)��,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧后����,計(jì)算所述數(shù)據(jù)包的數(shù)據(jù)包特征���,將所述數(shù)據(jù)包特征存儲(chǔ)至所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表�。
[0046]在第二方面的第四種可能的實(shí)現(xiàn)方式中�����,所述加速單元還用于在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下����,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧。
[0047]在第二方面的第五種可能的實(shí)現(xiàn)方式中����,所述數(shù)據(jù)包重定向表包括:索引項(xiàng)�;數(shù)據(jù)包頭信息:包括數(shù)據(jù)包源MAC地址���、數(shù)據(jù)包源IP地址��、數(shù)據(jù)包目的MAC地址��、數(shù)據(jù)包目的IP地址�;數(shù)據(jù)包VLAN ID�����。
[0048]在第二方面的第六種可能的實(shí)現(xiàn)方式中�,所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表包括:數(shù)據(jù)包特征,包括數(shù)據(jù)包源MAC地址����、數(shù)據(jù)包目的MAC地址。
[0049]本發(fā)明第三方面提供一種虛擬機(jī)安全保護(hù)系統(tǒng)���,可包括前述數(shù)據(jù)包重定向裝置和虛擬化安全網(wǎng)關(guān)����。
[0050]在第三方面的第一種可能的實(shí)現(xiàn)方式中�,還包括使用內(nèi)存共享技術(shù)的專用通道�,所述專用通道位于所述虛擬化安全網(wǎng)關(guān)與所述重定向單元之間����,所述重定向單元還用于通過(guò)所述專用通道將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)。
[0051]在第三方面的第二種可能的實(shí)現(xiàn)方式中����,所述虛擬化安全網(wǎng)關(guān)包括安全引擎模塊��,該安全引擎模塊包括接收單元和處理單元及響應(yīng)單元�,所述接收單元用于接收數(shù)據(jù)包,并將數(shù)據(jù)包發(fā)送到處理單元��,所述處理單元根據(jù)安全策略對(duì)所述數(shù)據(jù)包進(jìn)行安全處理��。
[0052]在第三方面的第三種可能的實(shí)現(xiàn)方式中����,所述安全處理包括以下至少一者:數(shù)據(jù)網(wǎng)絡(luò)審計(jì)、入侵檢測(cè)�、流量分析、惡意代碼檢測(cè)��。
[0053]在第三方面的第四種可能的實(shí)現(xiàn)方式中�,���,所述處理單元還用于判斷所述數(shù)據(jù)包是否符合所述安全策略,如果符合��,則將所述數(shù)據(jù)包返回虛擬機(jī)網(wǎng)絡(luò)����,如果不符合,則丟棄所述數(shù)據(jù)包��。
[0054]在第三方面的第五種可能的實(shí)現(xiàn)方式中�,其特征在于,所述安全引擎模塊還包括響應(yīng)單元�,該響應(yīng)單元用于根據(jù)輸出策略輸出所述安全處理的結(jié)果,和根據(jù)告警策略進(jìn)行生敬口目�����。
[0055]在第三方面的第六種可能的實(shí)現(xiàn)方式中�����,所述虛擬化安全網(wǎng)關(guān)還包括安全管理模塊�����,該安全管理模塊用于存儲(chǔ)和管理以下至少一者:安全策略、輸出策略和告警策略���。
[0056]本發(fā)明的技術(shù)方案�,通過(guò)抓取監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中的數(shù)據(jù)包�,通過(guò)計(jì)算數(shù)據(jù)包特征和判斷數(shù)據(jù)包來(lái)源來(lái)進(jìn)行重定向,相比采用虛擬交換機(jī)的現(xiàn)有技術(shù)����,可以利用開源虛擬化平臺(tái)的可修改內(nèi)核優(yōu)勢(shì),無(wú)需對(duì)每個(gè)虛擬機(jī)對(duì)應(yīng)的虛擬交換機(jī)進(jìn)行單獨(dú)配置����,靈活實(shí)現(xiàn)數(shù)據(jù)重定向�,并可根據(jù)需求對(duì)數(shù)據(jù)分析等功能進(jìn)行自定義,避免了手動(dòng)配置虛擬交換機(jī)的麻煩�����,并且加快了數(shù)據(jù)重定向的處理過(guò)程�,該方法可以適用于多種開源虛擬化軟件,諸如Xen����、KVM��,應(yīng)用方便廣泛���。
【專利附圖】
【附圖說(shuō)明】
[0057]圖1為虛擬機(jī)隔離失效及監(jiān)控失效的示意圖;
[0058]圖2為實(shí)現(xiàn)虛擬機(jī)流量監(jiān)控和虛擬機(jī)隔離的第一種方法的示意圖��;
[0059]圖3為實(shí)現(xiàn)虛擬機(jī)流量監(jiān)控和虛擬機(jī)隔離的第二種方法的示意圖�����;
[0060]圖4為現(xiàn)有技術(shù)的建立虛擬化安全網(wǎng)關(guān)后的服務(wù)器虛擬化應(yīng)用場(chǎng)景示意圖�����;
[0061]圖5為本發(fā)明實(shí)施例中虛擬機(jī)安全保護(hù)方法一個(gè)實(shí)施例的流程圖���;
[0062]圖6為本發(fā)明實(shí)施例中虛擬機(jī)安全保護(hù)方法另一個(gè)實(shí)施例的流程圖�;
[0063]圖7為本發(fā)明實(shí)施例中數(shù)據(jù)包重定向裝置一個(gè)實(shí)施例的示意圖���;
[0064]圖8為本發(fā)明實(shí)施例中虛擬化安全網(wǎng)關(guān)一個(gè)實(shí)施例的示意圖��;
[0065]圖9為本發(fā)明實(shí)施例中虛擬機(jī)安全保護(hù)系統(tǒng)一個(gè)實(shí)施例的示意圖�����。
【具體實(shí)施方式】
[0066]本發(fā)明實(shí)施例提供了一種虛擬機(jī)安全保護(hù)方法����,能夠提高靈活實(shí)現(xiàn)數(shù)據(jù)重定向,避免手動(dòng)配置虛擬交換機(jī)的麻煩����,加快數(shù)據(jù)包重定向的處理過(guò)程。
[0067]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明方案���,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述����,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例�����,而不是全部的實(shí)施例?���;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
[0068]圖5為本發(fā)明實(shí)施例中虛擬機(jī)安全保護(hù)方法一個(gè)實(shí)施例的流程圖����。參照?qǐng)D5,本發(fā)明的虛擬機(jī)安全保護(hù)方法的一個(gè)實(shí)施例包括:
[0069]S501�����、數(shù)據(jù)監(jiān)聽單元監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧��,在從所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中抓取到數(shù)據(jù)包時(shí)���,將所述數(shù)據(jù)包發(fā)送到加速單元���。
[0070]其中,需要將數(shù)據(jù)包重定向裝置部署到虛擬機(jī)監(jiān)控器VMM內(nèi)核中���?�?梢酝ㄟ^(guò)虛擬化軟件管理控制臺(tái)登錄虛擬機(jī)監(jiān)控器�����,通過(guò)命令行將數(shù)據(jù)包重定向裝置安裝到虛擬機(jī)監(jiān)控器VMM內(nèi)核中�,也可以配置虛擬機(jī)監(jiān)控器腳本在啟動(dòng)時(shí)自動(dòng)加載數(shù)據(jù)包重定向裝置。數(shù)據(jù)包重定向裝置內(nèi)可以包括數(shù)據(jù)監(jiān)聽單元���、加速單元和重定向單元��,并且�����,數(shù)據(jù)包重定向裝置可以與虛擬化安全網(wǎng)關(guān)進(jìn)行通信�,從而相互傳遞數(shù)據(jù)包和命令等����。
[0071]數(shù)據(jù)監(jiān)聽單元可以監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧��,抓取虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧上的數(shù)據(jù)包��。
[0072]S502、所述加速單元計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征����,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表,在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下�����,將所述數(shù)據(jù)包提交給重定向單元���;
[0073]其中�,加速單元根據(jù)數(shù)據(jù)包特征進(jìn)行快速的重定向��,這樣可以通過(guò)加速單元的操作來(lái)承擔(dān)部分虛擬化安全網(wǎng)關(guān)的數(shù)據(jù)包重定向的決策工作�����,減少所有數(shù)據(jù)重定向到虛擬化安全網(wǎng)關(guān)進(jìn)行重定向判斷時(shí)對(duì)虛擬化安全網(wǎng)關(guān)性能的影響���,加快了數(shù)據(jù)包重定向的處理過(guò)程�。
[0074]優(yōu)選可以通過(guò)將數(shù)據(jù)包的基本信息用Hash函數(shù)計(jì)算得到數(shù)據(jù)包的數(shù)據(jù)包特征�,以保證數(shù)據(jù)包特征的唯一性。數(shù)據(jù)包的基本信息包括可以包括數(shù)據(jù)包的MAC地址�����、IP地址、端口 (Port), VLAN ID����、網(wǎng)卡設(shè)備ID等。
[0075]加速單元計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征之后�����,在數(shù)據(jù)包快速轉(zhuǎn)發(fā)表查找是否存在對(duì)應(yīng)于數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則��,如果在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則��,則將所述數(shù)據(jù)包提交給重定向單元�����,由重定向單元根據(jù)數(shù)據(jù)包的來(lái)源將數(shù)據(jù)包發(fā)送回虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議?���;虬l(fā)送給虛擬化安全網(wǎng)關(guān)進(jìn)行安全處理。
[0076]S503��,所述重定向單元判斷所述數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān),當(dāng)判斷所述數(shù)據(jù)包來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)��,查詢數(shù)據(jù)包重定向表���,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí),將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧�����,當(dāng)判斷所述數(shù)據(jù)包不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)�,將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)���。
[0077]其中���,所述重定向單元首先判斷數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān),當(dāng)數(shù)據(jù)包是來(lái)自虛擬化安全網(wǎng)關(guān)時(shí)����,則表示該數(shù)據(jù)包已經(jīng)過(guò)了虛擬化安全網(wǎng)關(guān)的安全處理,符合虛擬化安全網(wǎng)關(guān)中預(yù)設(shè)的安全策略�����。這時(shí)��,重定向單元將查詢重定向表,如果重定向表中存在該數(shù)據(jù)包的基本信息�����,諸如該數(shù)據(jù)包的目的地址���,則將數(shù)據(jù)包返回虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧���,讓數(shù)據(jù)包繼續(xù)進(jìn)行后續(xù)操作。
[0078]根據(jù)本發(fā)明的虛擬機(jī)安全保護(hù)方法��,不采用現(xiàn)有技術(shù)中采用的虛擬交換機(jī)���,而是可以直接利用開源虛擬化平臺(tái)實(shí)現(xiàn)監(jiān)聽����、數(shù)據(jù)包特征計(jì)算����、快速轉(zhuǎn)發(fā)和重定向等步驟,無(wú)需對(duì)每個(gè)虛擬機(jī)對(duì)應(yīng)的虛擬交換機(jī)進(jìn)行單獨(dú)配置��,靈活實(shí)現(xiàn)數(shù)據(jù)重定向,并可根據(jù)需求對(duì)數(shù)據(jù)分析等功能進(jìn)行自定義���,避免了手動(dòng)配置虛擬交換機(jī)的麻煩��,提升了數(shù)據(jù)重定向的轉(zhuǎn)發(fā)性能,該方法可以適用于多種開源虛擬化軟件�����,諸如Xen����、KVM,應(yīng)用方便廣泛����。
[0079]在本發(fā)明的一個(gè)實(shí)施例中,在所述步驟S501中�����,數(shù)據(jù)監(jiān)聽單元可以通過(guò)鉤子(hook)機(jī)制抓取所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中的數(shù)據(jù)包�。諸如基于linux內(nèi)核的開源虛擬化平臺(tái)的開源虛擬化軟件自帶了 hook機(jī)制,比如Xen�,KVM都提供了一套基于Netfilter的鉤子機(jī)制。由此,該方法可以適用于多種開元虛擬化軟件���。數(shù)據(jù)包的抓包過(guò)程可以循環(huán)進(jìn)行�����。
[0080]在本發(fā)明的一個(gè)實(shí)施例中�,在所述步驟S502中�����,所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表可以包括以下信息:數(shù)據(jù)包特征�����,包括數(shù)據(jù)包源MAC地址����、數(shù)據(jù)包目的MAC地址等。
[0081]所述加速單元計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征����,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表的步驟還可以包括:在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧����,從而數(shù)據(jù)包可以在虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧中繼續(xù)進(jìn)行后續(xù)操作�����。
[0082]在本發(fā)明的一個(gè)實(shí)施例中����,在所述步驟S503中�����,所述數(shù)據(jù)包重定向表可以包括以下信息:索引項(xiàng)���;數(shù)據(jù)包頭信息:包括數(shù)據(jù)包源MAC地址、數(shù)據(jù)包源IP地址�����、數(shù)據(jù)包目的MAC地址���、數(shù)據(jù)包目的IP地址�;數(shù)據(jù)包VLAN ID等���。
[0083]當(dāng)判斷所述數(shù)據(jù)包來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)���,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)���,所述重定向單元可以恢復(fù)所述數(shù)據(jù)包的源地址信息,并將恢復(fù)后的數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧�。進(jìn)一步優(yōu)選的,所述重定向單元還可以計(jì)算所述數(shù)據(jù)包的數(shù)據(jù)包特征��,并將所述數(shù)據(jù)包特征存儲(chǔ)至所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表��。
[0084]當(dāng)判斷所述數(shù)據(jù)包不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)�����,所述重定向單元將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表����,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)。優(yōu)選的��,虛擬化安全網(wǎng)關(guān)與重定向單元之間可以建立使用內(nèi)存共享技術(shù)的專用通道�,從而可以在虛擬化安全網(wǎng)關(guān)虛擬機(jī)和虛擬機(jī)監(jiān)控器內(nèi)核之間進(jìn)行通信、傳遞命令和數(shù)據(jù)包等���??梢酝ㄟ^(guò)使用該專用通道將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)。
[0085]圖6為本發(fā)明實(shí)施例中虛擬機(jī)安全保護(hù)方法另一個(gè)實(shí)施例的流程圖����,參照?qǐng)D6,根據(jù)本發(fā)明的虛擬機(jī)安全保護(hù)方法還可以包括:
[0086]S504���,所述虛擬化安全網(wǎng)關(guān)根據(jù)安全策略對(duì)所述數(shù)據(jù)包進(jìn)行安全處理���。
[0087]虛擬化安全網(wǎng)關(guān)接收到數(shù)據(jù)包后,可以對(duì)數(shù)據(jù)包進(jìn)行組合和過(guò)濾等預(yù)處理�,并對(duì)預(yù)處理后的數(shù)據(jù)包進(jìn)行安全處理�����。
[0088]所述安全處理可以包括數(shù)據(jù)網(wǎng)絡(luò)審計(jì)���、入侵檢測(cè)�、流量分析和惡意代碼檢測(cè)等�。
[0089]優(yōu)選的,在對(duì)數(shù)據(jù)包進(jìn)行安全處理之后�,虛擬化安全網(wǎng)關(guān)可以根據(jù)所述安全處理之后的結(jié)果����,判斷所述數(shù)據(jù)包是否符合所述安全策略�,如果符合,則將所述數(shù)據(jù)包返回虛擬機(jī)網(wǎng)絡(luò)�,如果不符合,則丟棄所述數(shù)據(jù)包�����。
[0090]進(jìn)一步優(yōu)選的��,虛擬化安全網(wǎng)關(guān)還可以對(duì)安全處理的結(jié)果進(jìn)行顯示����,在數(shù)據(jù)包不符合安全策略時(shí),還可以發(fā)出警告
[0091]上面對(duì)本發(fā)明實(shí)施例中的虛擬機(jī)安全保護(hù)方法進(jìn)行了描述����,下面對(duì)本發(fā)明實(shí)施例中的數(shù)據(jù)包重定向裝置進(jìn)行描述,參考圖7����,該數(shù)據(jù)包重定向裝置710包括:
[0092]數(shù)據(jù)監(jiān)聽單元715,用于監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧���,在從所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中抓取到數(shù)據(jù)包時(shí)�����,將所述數(shù)據(jù)包發(fā)送到加速單元���;
[0093]加速單元711�,用于計(jì)算從所述數(shù)據(jù)監(jiān)聽單元715接收到的數(shù)據(jù)包的數(shù)據(jù)包特征�����,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表���,在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下�����,將所述數(shù)據(jù)包提交給重定向單元;
[0094]重定向單元712��,用于判斷所述數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān)���,
[0095]當(dāng)判斷所述數(shù)據(jù)包來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)��,查詢數(shù)據(jù)包重定向表����,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí),將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧�,
[0096]當(dāng)判斷所述數(shù)據(jù)包不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí),將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表���,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)�。
[0097]其中���,數(shù)據(jù)包重定向裝置710內(nèi)包括數(shù)據(jù)監(jiān)聽單元715����、加速單元711和重定向單元712�。使用時(shí),將數(shù)據(jù)包重定向裝置部署到虛擬機(jī)監(jiān)控器VMM內(nèi)核中�����?�?梢酝ㄟ^(guò)虛擬化軟件管理控制臺(tái)登錄虛擬機(jī)監(jiān)控器,通過(guò)命令行將數(shù)據(jù)包重定向裝置安裝到虛擬機(jī)監(jiān)控器VMM內(nèi)核中��,也可以配置虛擬機(jī)監(jiān)控器腳本在啟動(dòng)時(shí)自動(dòng)加載數(shù)據(jù)包重定向裝置����。
[0098]所述數(shù)據(jù)監(jiān)聽單元715可以監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧,抓取虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧上的數(shù)據(jù)包��。
[0099]所述加速單元711根據(jù)數(shù)據(jù)包特征進(jìn)行快速的重定向�,這樣可以通過(guò)加速單元711的操作來(lái)承擔(dān)部分虛擬化安全網(wǎng)關(guān)的數(shù)據(jù)包重定向的決策工作,減少所有數(shù)據(jù)重定向到虛擬化安全網(wǎng)關(guān)進(jìn)行重定向判斷時(shí)對(duì)虛擬化安全網(wǎng)關(guān)性能的影響�����,加快了數(shù)據(jù)包重定向的處理過(guò)程�。
[0100]優(yōu)選可以通過(guò)將數(shù)據(jù)包的基本信息用Hash函數(shù)計(jì)算得到數(shù)據(jù)包的數(shù)據(jù)包特征,以保證數(shù)據(jù)包特征的唯一性�。數(shù)據(jù)包的基本信息可以包括數(shù)據(jù)包的MAC地址、IP地址�、端口 (Port), VLAN ID、網(wǎng)卡設(shè)備 ID 等����。
[0101]加速單元711計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征之后����,在數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中查找是否存在對(duì)應(yīng)于數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則����,如果在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則��,則將所述數(shù)據(jù)包提交給重定向單元712����,由重定向單元712根據(jù)數(shù)據(jù)包的來(lái)源將數(shù)據(jù)包發(fā)送回虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧或發(fā)送給虛擬化安全網(wǎng)關(guān)進(jìn)行安全處理�。
[0102]所述重定向單元712可以根據(jù)數(shù)據(jù)包重定向表實(shí)施數(shù)據(jù)包重定向。首先��,重定向單元712判斷數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān)����,當(dāng)數(shù)據(jù)包是來(lái)自虛擬化安全網(wǎng)關(guān)時(shí),則表示該數(shù)據(jù)包已經(jīng)過(guò)了虛擬化安全網(wǎng)關(guān)的安全處理��,符合虛擬化安全網(wǎng)關(guān)中預(yù)設(shè)的安全策略�。這時(shí),重定向單元712將查詢重定向表�,如果重定向表中存在該數(shù)據(jù)包的基本信息,諸如該數(shù)據(jù)包的目的地址�����,則將數(shù)據(jù)包返回虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧,讓數(shù)據(jù)包繼續(xù)進(jìn)行后續(xù)操作����。
[0103]根據(jù)本發(fā)明的數(shù)據(jù)包重定向裝置,可以替代現(xiàn)有的虛擬交換機(jī)����,該數(shù)據(jù)包重定向裝置可以直接利用開源虛擬化平臺(tái)實(shí)現(xiàn)監(jiān)聽、數(shù)據(jù)包特征計(jì)算�����、快速轉(zhuǎn)發(fā)和重定向等步驟��,避免了對(duì)每個(gè)虛擬機(jī)對(duì)應(yīng)的虛擬交換機(jī)進(jìn)行單獨(dú)配置�,靈活實(shí)現(xiàn)數(shù)據(jù)重定向,通過(guò)加速單元�,提升了數(shù)據(jù)重定向的轉(zhuǎn)發(fā)性能,該方法可以適用于多種開源虛擬化軟件����,諸如Xen、KVM����,應(yīng)用方便廣泛。
[0104]在本發(fā)明的一個(gè)實(shí)施例中�,所述數(shù)據(jù)監(jiān)聽單元715可以通過(guò)鉤子(hook)機(jī)制抓取所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中的數(shù)據(jù)包。諸如基于linux內(nèi)核的開源虛擬化平臺(tái)的開源虛擬化軟件自帶了 hook機(jī)制�����,比如Xen��,KVM都提供了一套基于Netfilter的鉤子機(jī)制����。由此,該方法可以適用于多種開元虛擬化軟件��。數(shù)據(jù)包的抓包過(guò)程可以循環(huán)進(jìn)行�����。
[0105]在本發(fā)明的一個(gè)實(shí)施例中��,所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表可以包括以下信息:數(shù)據(jù)包特征�,包括數(shù)據(jù)包源MAC地址、數(shù)據(jù)包目的MAC地址等�����。
[0106]所述加速單元711計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表的步驟還可以包括:在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下����,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧,從而數(shù)據(jù)包可以在虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧中繼續(xù)進(jìn)行后續(xù)操作��。
[0107]在本發(fā)明的一個(gè)實(shí)施例中����,所述數(shù)據(jù)包重定向表可以包括以下信息:索引項(xiàng);數(shù)據(jù)包頭信息:包括數(shù)據(jù)包源MAC地址�、數(shù)據(jù)包源IP地址、數(shù)據(jù)包目的MAC地址��、數(shù)據(jù)包目的IP地址��;數(shù)據(jù)包VLAN ID等�。
[0108]當(dāng)判斷所述數(shù)據(jù)包來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí),在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)�����,所述重定向單元還可以恢復(fù)所述數(shù)據(jù)包的源地址信息����,并將恢復(fù)后的數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧���。進(jìn)一步優(yōu)選的,所述重定向單元還可以計(jì)算所述數(shù)據(jù)包的數(shù)據(jù)包特征��,并將所述數(shù)據(jù)包特征存儲(chǔ)至所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表��。
[0109]優(yōu)選的���,虛擬化安全網(wǎng)關(guān)與重定向單元712之間可以建立使用內(nèi)存共享技術(shù)的專用通道,從而可以在虛擬化安全網(wǎng)關(guān)虛擬機(jī)和虛擬機(jī)監(jiān)控器內(nèi)核之間進(jìn)行通信���、傳遞命令和數(shù)據(jù)包等��。當(dāng)判斷所述數(shù)據(jù)包不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)���,所述重定向單元712可以通過(guò)使用該專用通道將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)。
[0110]同時(shí)��,本發(fā)明實(shí)施例還提供了一種虛擬機(jī)安全保護(hù)系統(tǒng)����,包括上述數(shù)據(jù)包重定向裝置���,還包括虛擬化網(wǎng)關(guān)。
[0111]在本發(fā)明的一個(gè)實(shí)施例中����,虛擬化安全網(wǎng)關(guān)可以包括安全引擎模塊801,該安全引擎模塊801包括接收單元802和處理單元803���,所述接收單元802和處理單元803可獨(dú)立運(yùn)行����。所述接收單元802用于接收數(shù)據(jù)包�����,并將數(shù)據(jù)包發(fā)送到處理單元803�。優(yōu)選的,所述接收單元802還可以對(duì)數(shù)據(jù)包進(jìn)行預(yù)處理��。所述預(yù)處理可以包括數(shù)據(jù)包組合和過(guò)濾等����。
[0112]所述處理單元803根據(jù)安全策略對(duì)所述數(shù)據(jù)包進(jìn)行安全處理。所述安全處理可以包括數(shù)據(jù)網(wǎng)絡(luò)審計(jì)����、入侵檢測(cè)�、流量分析和惡意代碼檢測(cè)等���。
[0113]優(yōu)選的���,所述處理單元803在對(duì)數(shù)據(jù)包進(jìn)行安全處理之后,可以判斷所述數(shù)據(jù)包是否符合所述安全策略�����,如果符合���,則將所述數(shù)據(jù)包返回虛擬機(jī)網(wǎng)絡(luò),如果不符合����,則丟棄所述數(shù)據(jù)包。
[0114]在本發(fā)明的一個(gè)實(shí)施例中�,安全引擎模塊801還可以包括響應(yīng)單元804。該響應(yīng)單元804用于根據(jù)輸出策略輸出所述安全處理的結(jié)果�,優(yōu)選的,還可以根據(jù)告警策略進(jìn)行告靈目ο
[0115]在本發(fā)明的一個(gè)實(shí)施例中����,虛擬化安全網(wǎng)關(guān)還可以包括安全管理模塊800�����,該安全管理模塊800用于存儲(chǔ)和管理安全策略��、輸出策略和告警策略���,并向所述安全處理單元提供安全策略,向所述響應(yīng)單元提供輸出策略和告警策略����。
[0116]下面,對(duì)采用了本發(fā)明的虛擬機(jī)安全保護(hù)系統(tǒng)的應(yīng)用場(chǎng)景進(jìn)行描述����。如圖9所示,虛擬機(jī)監(jiān)控器913上運(yùn)行著虛擬機(jī)901�、虛擬機(jī)902、虛擬機(jī)903�����。其中虛擬機(jī)902和虛擬機(jī)903可以通過(guò)虛擬機(jī)監(jiān)控器913中的網(wǎng)絡(luò)棧909進(jìn)行通信,同時(shí)�,這兩個(gè)虛擬機(jī)也可以通過(guò)網(wǎng)絡(luò)棧909和外部網(wǎng)絡(luò)設(shè)備914進(jìn)行通信。
[0117]網(wǎng)絡(luò)棧909內(nèi)部部署著數(shù)據(jù)包重定向裝置910�����,該裝置包括數(shù)據(jù)監(jiān)聽單元915�、重定向單元912和加速單元911。虛擬機(jī)901中部署著安全管理模塊904�、安全引擎模塊908,安全引擎模塊908包含接收單元905�、處理單元906、響應(yīng)單元907�����。
[0118]通過(guò)上述部署����,虛擬機(jī)902和虛擬機(jī)903之間的通信���,以及與外部網(wǎng)絡(luò)設(shè)備914通信流量都被數(shù)據(jù)包重定向裝置910的重定向單元912重定向至安裝有虛擬化安全網(wǎng)關(guān)916的虛擬機(jī)901�����,從而實(shí)現(xiàn)虛擬機(jī)之間的流量隔離�����、流量監(jiān)控�����、入侵檢測(cè)���、惡意代碼檢測(cè)等功會(huì)泛�。
[0119]通過(guò)數(shù)據(jù)包重定向裝置中的加速單元911可以承擔(dān)部分虛擬化安全網(wǎng)關(guān)的數(shù)據(jù)包重定向的決策工作��,從而加快了數(shù)據(jù)包重定向的處理過(guò)程�,提高了保護(hù)系統(tǒng)的處理性能。
[0120]通過(guò)虛擬化安全網(wǎng)關(guān)916中的安全管理模塊904實(shí)現(xiàn)對(duì)虛擬機(jī)保護(hù)系統(tǒng)中各種策略的可編程管理���。
[0121]利用本發(fā)明提供的數(shù)據(jù)包重定向裝置����、虛擬機(jī)安全保護(hù)方法及系統(tǒng)�����,可以適用于多種開源虛擬化軟件,實(shí)現(xiàn)更高效靈活的數(shù)據(jù)包重定向處理����,緩解數(shù)據(jù)包重定向至虛擬化安全網(wǎng)關(guān)帶來(lái)的性能限制。
[0122]在本申請(qǐng)所提供的幾個(gè)實(shí)施例中�����,應(yīng)該理解到����,所揭露的系統(tǒng),裝置和方法�����,可以通過(guò)其它的方式實(shí)現(xiàn)�。例如,以上所描述的裝置實(shí)施例僅僅是示意性的����,例如��,所述單元的劃分���,僅僅為一種邏輯功能劃分���,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式�����,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)��,或一些特征可以忽略�,或不執(zhí)行�����。另一點(diǎn)�,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口,裝置或單元的間接耦合或通信連接���,可以是電性��,機(jī)械或其它的形式���。
[0123]所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元����,即可以位于一個(gè)地方��,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上����?���?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。
[0124]另外����,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中,也可以是各個(gè)單元單獨(dú)物理存在�,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)��,也可以采用軟件功能單元的形式實(shí)現(xiàn)��。
[0125]所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)��,可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�����?��;谶@樣的理解�,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)��,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中��,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)���,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括:U盤�����、移動(dòng)硬盤���、只讀存儲(chǔ)器(ROM�����,Read-OnlyMemory)�、隨機(jī)存取存儲(chǔ)器(RAM,Random Access Memory)�����、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)��。
[0126]本發(fā)明的說(shuō)明書和權(quán)利要求書及上述附圖中的術(shù)語(yǔ)“第一”���、“第二”����、“第三…第四”等(如果存在)是用于區(qū)別類似的對(duì)象��,而不必用于描述特定的順序或先后次序����。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的實(shí)施例能夠以除了在這里圖示或描述的內(nèi)容以外的順序?qū)嵤?。此外,術(shù)語(yǔ)“包括”和“具有”以及他們的任何變形��,意圖在于覆蓋不排他的包含����,例如�����,包含了一系列步驟或單元的過(guò)程、方法�、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元�����,而是可包括沒有清楚地列出的或?qū)τ谶@些過(guò)程����、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元���。
[0127]以上所述�����,以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案���,而非對(duì)其限制;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改�,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換����;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍����。
【權(quán)利要求】
1.一種虛擬機(jī)安全保護(hù)方法,其特征在于��,包括: 數(shù)據(jù)監(jiān)聽單元監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧���,在從所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中抓取到數(shù)據(jù)包時(shí)�����,將所述數(shù)據(jù)包發(fā)送到加速單元�����; 所述加速單元計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征�,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表���,在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下�����,將所述數(shù)據(jù)包提交給重定向單元�����; 所述重定向單元判斷所述數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān)�����, 當(dāng)判斷所述數(shù)據(jù)包來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)��,查詢數(shù)據(jù)包重定向表���,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí),將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧�����, 當(dāng)判斷所述數(shù)據(jù)包不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)�����,將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)�����。
2.根據(jù)權(quán)利要求1所述的虛擬機(jī)安全保護(hù)方法����,其特征在于,所述數(shù)據(jù)監(jiān)聽單元通過(guò)鉤子機(jī)制抓取所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中的數(shù)據(jù)包��。
3.根據(jù)權(quán)利要求1所述的虛擬機(jī)安全保護(hù)方法�,其特征在于,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)�,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧的步驟包括: 恢復(fù)所述數(shù)據(jù)包的源地址信息,并將恢復(fù)后的數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧�。
4.根據(jù)權(quán)利要求1所述的虛擬機(jī)安全保護(hù)方法,其特征在于�,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí),將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧后還包括: 計(jì)算所述數(shù)據(jù)包的數(shù)據(jù)包特征����,將所述數(shù)據(jù)包特征存儲(chǔ)至所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表。
5.根據(jù)權(quán)利要求1所述的虛擬機(jī)安全保護(hù)方法�,其特征在于,所述加速單元計(jì)算該數(shù)據(jù)包的數(shù)據(jù)包特征�����,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表的步驟還包括: 在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧��。
6.根據(jù)權(quán)利要求1所述的虛擬機(jī)安全保護(hù)方法����,其特征在于,將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表�����,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)的步驟包括: 通過(guò)所述虛擬化安全網(wǎng)關(guān)與所述重定向單元之間的使用內(nèi)存共享技術(shù)的專用通道將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)�����。
7.根據(jù)權(quán)利要求1所述的虛擬機(jī)安全保護(hù)方法����,其特征在于����,在將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)之后,還包括: 所述虛擬化安全網(wǎng)關(guān)根據(jù)安全策略對(duì)所述數(shù)據(jù)包進(jìn)行安全處理���。
8.根據(jù)權(quán)利要求7所述的虛擬機(jī)安全保護(hù)方法��,其特征在于���,所述安全處理包括以下至少一者:數(shù)據(jù)網(wǎng)絡(luò)審計(jì)�����、入侵檢測(cè)��、流量分析��、惡意代碼檢測(cè)����。
9.根據(jù)權(quán)利要求7所述的虛擬機(jī)安全保護(hù)方法�,其特征在于,在所述虛擬化安全網(wǎng)關(guān)根據(jù)安全策略對(duì)所述數(shù)據(jù)包進(jìn)行安全處理之后����,還包括: 根據(jù)所述安全處理之后的結(jié)果,判斷所述數(shù)據(jù)包是否符合所述安全策略�����,如果符合,則將所述數(shù)據(jù)包返回虛擬機(jī)網(wǎng)絡(luò)�,如果不符合,則丟棄所述數(shù)據(jù)包����。
10.根據(jù)權(quán)利要求1-9中任一項(xiàng)所述的虛擬機(jī)安全保護(hù)方法,其特征在于��,所述數(shù)據(jù)包重定向表包括: 索引項(xiàng)���;數(shù)據(jù)包頭信息:包括數(shù)據(jù)包源MAC地址�、數(shù)據(jù)包源IP地址��、數(shù)據(jù)包目的MAC地址�、數(shù)據(jù)包目的IP地址;數(shù)據(jù)包VLAN ID���。
11.根據(jù)權(quán)利要求1-9中任一項(xiàng)所述的虛擬機(jī)安全保護(hù)方法,其特征在于��,所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表包括: 數(shù)據(jù)包特征����,包括數(shù)據(jù)包源MAC地址�����、數(shù)據(jù)包目的MAC地址�。
12.一種數(shù)據(jù)包重定向裝置�,其特征在于,包括: 數(shù)據(jù)監(jiān)聽單元�,用于監(jiān)聽虛擬機(jī)監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧,在從所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中抓取到數(shù)據(jù)包時(shí)����,將所述數(shù)據(jù)包發(fā)送到加速單元; 加速單元�����,用于計(jì)算從所述數(shù)據(jù)監(jiān)聽單元接收到的數(shù)據(jù)包的數(shù)據(jù)包特征��,查詢數(shù)據(jù)包快速轉(zhuǎn)發(fā)表�����,在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中不存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下�����,將所述數(shù)據(jù)包提交給重定向單元; 重定向單元�����,用于判斷所述數(shù)據(jù)包是否來(lái)自虛擬化安全網(wǎng)關(guān)�����, 當(dāng)判斷所述數(shù)據(jù)包來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)�����,查詢數(shù)據(jù)包重定向表��,在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)���,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧����, 當(dāng)判斷所述數(shù)據(jù)包不來(lái)自所述虛擬化安全網(wǎng)關(guān)時(shí)����,將所述數(shù)據(jù)包的基本信息記錄至所述數(shù)據(jù)包重定向表�,并將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)��。
13.根據(jù)權(quán)利要求12所述的數(shù)據(jù)包重定向裝置����,其特征在于��,所述數(shù)據(jù)監(jiān)聽單元通過(guò)鉤子機(jī)制抓取所述監(jiān)控器內(nèi)核網(wǎng)絡(luò)棧中的數(shù)據(jù)包�����。
14.根據(jù)權(quán)利要求12所述的數(shù)據(jù)包重定向裝置���,其特征在于��,所述重定向單元還用于在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)��,恢復(fù)所述數(shù)據(jù)包的源地址信息����,并將恢復(fù)后的數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧��。
15.根據(jù)權(quán)利要求12所述的數(shù)據(jù)包重定向裝置�����,其特征在于,所述重定向單元還用于在所述數(shù)據(jù)包重定向表中存在所述數(shù)據(jù)包的基本信息時(shí)�����,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧后����,計(jì)算所述數(shù)據(jù)包的數(shù)據(jù)包特征,將所述數(shù)據(jù)包特征存儲(chǔ)至所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表�����。
16.根據(jù)權(quán)利要求12所述的數(shù)據(jù)包重定向裝置�,其特征在于,所述加速單元還用于在所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表中存在對(duì)應(yīng)于所述數(shù)據(jù)包特征的轉(zhuǎn)發(fā)規(guī)則的情況下��,將所述數(shù)據(jù)包返回所述虛擬機(jī)監(jiān)控器網(wǎng)絡(luò)協(xié)議棧����。
17.根據(jù)權(quán)利要求13-16中任一項(xiàng)所述的數(shù)據(jù)包重定向裝置,其特征在于�,所述數(shù)據(jù)包重定向表包括: 索引項(xiàng);數(shù)據(jù)包頭信息:包括數(shù)據(jù)包源MAC地址�、數(shù)據(jù)包源IP地址、數(shù)據(jù)包目的MAC地址、數(shù)據(jù)包目的IP地址�;數(shù)據(jù)包VLAN ID�。
18.根據(jù)權(quán)利要求13-16中任一項(xiàng)所述的數(shù)據(jù)包重定向裝置,其特征在于�����,所述數(shù)據(jù)包快速轉(zhuǎn)發(fā)表包括: 數(shù)據(jù)包特征�����,包括數(shù)據(jù)包源MAC地址�����、數(shù)據(jù)包目的MAC地址��。
19.一種虛擬機(jī)安全保護(hù)系統(tǒng)����,其特征在于,包括權(quán)利要求13-17中任一項(xiàng)所述的數(shù)據(jù)包重定向裝置和虛擬化安全網(wǎng)關(guān)�。
20.根據(jù)權(quán)利要求19所述的虛擬機(jī)安全保護(hù)系統(tǒng),其特征在于�,還包括使用內(nèi)存共享技術(shù)的專用通道,所述專用通道位于所述虛擬化安全網(wǎng)關(guān)與所述重定向單元之間, 所述重定向單元還用于通過(guò)所述專用通道將所述數(shù)據(jù)包發(fā)送給所述虛擬化安全網(wǎng)關(guān)���。
21.根據(jù)權(quán)利要求19所述的虛擬機(jī)安全保護(hù)系統(tǒng)�,其特征在于�,所述虛擬化安全網(wǎng)關(guān)包括安全引擎模塊,該安全引擎模塊包括接收單元和處理單元及響應(yīng)單元�,所述接收單元用于接收數(shù)據(jù)包,并將數(shù)據(jù)包發(fā)送到處理單元�,所述處理單元根據(jù)安全策略對(duì)所述數(shù)據(jù)包進(jìn)行安全處理。
22.根據(jù)權(quán)利要求21所述的虛擬機(jī)安全保護(hù)系統(tǒng)�,其特征在于,所述安全處理包括以下至少一者:數(shù)據(jù)網(wǎng)絡(luò)審計(jì)��、入侵檢測(cè)���、流量分析��、惡意代碼檢測(cè)����。
23.根據(jù)權(quán)利要求21所述的虛擬機(jī)安全保護(hù)系統(tǒng)���,其特征在于��,所述處理單元還用于判斷所述數(shù)據(jù)包是否符合所述安全策略��,如果符合��,則將所述數(shù)據(jù)包返回虛擬機(jī)網(wǎng)絡(luò)��,如果不符合�,則丟棄所述數(shù)據(jù)包�。
24.根據(jù)權(quán)利要求21所述的虛擬機(jī)安全保護(hù)系統(tǒng),其特征在于�,所述安全引擎模塊還包括響應(yīng)單元,該響應(yīng)單元用于根據(jù)輸出策略輸出所述安全處理的結(jié)果��,和根據(jù)告警策略進(jìn)行告警�。
25.根據(jù)權(quán)利要求21所述的虛擬機(jī)安全保護(hù)系統(tǒng),其特征在于���,所述虛擬化安全網(wǎng)關(guān)還包括安全管理模塊�����,該安全管理模塊用于存儲(chǔ)和管理以下至少一者:安全策略��、輸出策略和告警策略�����。
【文檔編號(hào)】H04L12/721GK104506548SQ201410851599
【公開日】2015年4月8日 申請(qǐng)日期:2014年12月31日 優(yōu)先權(quán)日:2014年12月31日
【發(fā)明者】李瑋, 賈興旺, 余小軍 申請(qǐng)人:北京天融信科技有限公司, 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司, 北京天融信軟件有限公司